DDoS攻击是从许多受感染的设备和几个不同的网络发起的，这些网络通常以所谓的僵尸网络的形式分布在世界各地。僵尸网络是指被恶意软件(malware)感染的一组计算机。这是与使用单个设备(一个网络)的拒绝服务(DoS)攻击的主要区别。

　　DDoS攻击的常见类型：

　　1、应用层攻击(第7层)- HTTP泛洪、DNS查询泛洪：

　　由旨在消耗应用程序资源(内存、CPU、带宽)的请求(HTTP GET和DNS查询很流行)组成。一个例子是持续使用网站功能(提交联系表单或任何API请求)的攻击者，他知道这会导致数据库和应用程序处理，因此底层Web服务忙于处理恶意请求，无法交付给其他用户了。尝试减轻应用程序层攻击时的主要困难是区分正常流量和恶意流量。

　　2、状态耗尽攻击(第4层)- SYN 泛洪：

　　使用存在于许多网络基础设施和安全设备(包括路由器、防火墙和负载平衡器)以及应用程序服务器本身中的TCP连接状态表。攻击者在未完成连接的情况下快速启动与服务器的连接。这些攻击可以阻止合法用户的访问或使安全设备无法运行，有时甚至使防御措施对数据泄露敞开大门。这种类型的 DDoS攻击被用于2016 年的DYN攻击，导致亚马逊、推特、Github等主要网站无法访问。

　　3、Volumetric Attacks(第3层)：

　　也称为网络泛洪，包括UDP泛洪(UDP 反射攻击)和ICMP泛洪。当网络被大量恶意流量淹没时，就会发生这种类型的攻击，导致用户无法使用您的应用程序或服务。通常，这种类型的攻击以数百Gbps的速度进行描述，但最近的一些攻击已扩展到超过1Tbps。

　　DDoS攻击利用了Internet的开放性及其将数据包从几乎任何来源传送到任何目的地的优势。使DDoS攻击成为如此挑战的原因是非法数据包与合法数据包几乎无法区分。典型的DDoS攻击类型包括带宽攻击和应用程序攻击。

　　在带宽攻击中，网络资源或设备被大量数据包消耗。通过应用程序攻击，TCP 或 HTTP 资源无法处理事务或请求。那么DDoS如何防御?

　　1、黑洞或沉洞：这种方法会阻止所有流量并将其转移到黑洞，并在那里被丢弃。缺点是所有流量都将被丢弃，无论是好的还是坏的并且目标业务会离线。同样，数据包过滤和速率限制措施只是简单地关闭一切，拒绝合法用户访问。

　　2、路由器和防火墙：路由器可以配置为通过过滤非必要协议来阻止简单的ping攻击，也可以阻止无效的ip地址。但是，路由器通常无法有效抵御更复杂的欺骗攻击和使用有效ip地址的应用程序级攻击。防火墙可以关闭与攻击相关的特定流量，但与路由器一样，它们不能执行反欺骗。

　　3、入侵检测系统：IDS解决方案将提供一些异常检测功能，因此它们将识别有效协议何时被用作攻击工具。它们可以与防火墙结合使用以自动阻止流量。不利的一面是，它们不是自动化的，因此需要安全专家手动调整，而且它们经常会产生误报。

　　4、服务器：正确配置服务器应用程序对于最大限度地减少DDoS攻击的影响至关重要。管理员可以明确定义应用程序可以使用哪些资源以及它将如何响应来自客户端的请求。结合DDoS缓解设备，优化的服务器有机会通过DDoS攻击继续运行。

　　5、DDoS缓解设备：一些公司要么制造专门用于净化流量的设备，要么将DDoS缓解功能构建到主要用于负载平衡或防火墙等其他功能的设备中，这些设备具有不同程度的有效性。没有一个是完美的。一些合法流量将被丢弃，一些非法流量将到达服务器。服务器基础设施必须足够强大以处理此流量并继续为合法客户端提供服务。

　　6、过度配置：或购买额外带宽或冗余网络设备来处理需求高峰可能是处理DDoS攻击的有效方法。使用外包服务提供商的优势之一是我们可以按需购买服务，例如可在我们需要时为自己提供更多带宽的突发电路，而不是在冗余网络接口和设备上进行昂贵的资本投资。